Cybereasonを活用した安価なMDRサービス
X-SOC for Cybereason
特徴
X-SOC for Cybereasonの特徴は以下の通りです。
- Cybereasonでお客様の端末 (PC、サーバー) を24時間365日で監視します。
- Cybereasonで検知したアラート (セキュリティ インシデントまたはその予兆) を当社SOCアナリストが分析し、セキュリティリスクを判断し、対応が必要なアラートに絞ってお客様に通知します。
- 当社SOCアナリストが対応が必要と判断したアラートに対して、ネットワーク隔離などの必要な対応を能動的に実施します。
- X-SOC for Cybereasonでは検知の際、CybereasonのAPI連携機能を活用した弊社独自開発の脅威度判定プログラムを使用しています。
- Malop※1を検知した際、自動でMalopの調査を行い過検知であるものと脅威の疑いがあるものの判定を行います。
- お客様環境で発生したセキュリティリスクを月次報告書としてご報告します。
※1悪意のある振る舞い (Malicious Operation) を表しているCybereason独自の用語です。 「アラート」と呼ぶ場合があります。
サービスイメージ
お客様環境で発生したセキュリティの脅威をCybereasonで検知し、SOCアナリストによる調査・分析した結果、対応が必要なセキュリティインシデントに対してプロアクティブに対応します。
以下はX-SOC for Cybereasonの検知、対応サービスをご契約した場合のサービスイメージです。(以下のイメージ図は一例です。選択いただくサービスによってプロセスが異なります。)
サービスメニュー
X-SOC for Cybereasonは、以下のサービスをご提供します。
| 項目 | サービス | 説明 |
|---|---|---|
| 検知 (Detection) | アラート受信 | Cybereasonが通知したアラート(Malop)をお客様に代わって受信します。 |
| アラート分析 | アラートを元に SOCアナリストが、脅威の詳細を調査・分析、Severity付けを実施し、対応が必要かどうか判断します。 | |
| 推奨対応の提示 | 分析結果と、対応が必要な脅威を排除するための推奨対応を提示します。 なお検知サービスのみを契約している場合は推奨対応をお客様に提示します。「検知サービス」と「対応サービス」の両方を契約している場合は対応サービスと連携しお客様への通知を行います。 | |
| セキュリティインシデント通知連絡 | SOCアナリストが作成したセキュリティインシデント通知内容をお客様に連絡します。 | |
| 発生したインシデントに関する問い合わせ対応 | 発生したインシデントに関するお客様からのお問合せを受付けて回答します。 | |
| 月次レポート(通知履歴) | 対応が不要だった脅威や、Severityが低い脅威などを含め、お客様環境で発生したセキュリティリスクについて、レポートを月に1回作成します。 | |
| インシデント通知連絡※1 | 非管理端末対処 | セキュリティインシデント通知内容をお客様に連絡します。 |
| プロアクティブレスポンス | SOCアナリストが提示した推奨対応をお客様に代わって実施※2します。実施結果をお客様に連絡します。 | |
| 実施したレスポンスに関する問い合わせ対応 | 発生したアラートに対する対応についてのお客様からのお問合せを受付けて、回答します。 | |
| PCR受付 | お客様からのPCR申請を受付けて、SOCチームにPCR申請内容の実施を依頼します。SOCチームの作業結果をお客様に連絡します。 | |
| ホワイトリスト登録 | 過検知・誤検知のアラート等をお客様の申請に基づき、ホワイトリストへ登録します。※3 | |
| ブラックリスト登録 | お客様の申請に基づき、ブラックリストへ登録します。※4 | |
| チケット管理 | セキュリティインシデント、PCR、問合せの発生から完了までの対応状況を管理します。 | |
| 月次レポート(対応) | Severityの高いアラートに対しての解析と対応についてレポートを月に1回作成します。 |
※1X-SOC対応サービスのみをご契約し、検知サービスとしてCybereason MDRサービスをご契約の場合対応サービスにて提供するサービスです。
※2Cybereasonコンソールから操作できる対応に限ります。
※3申請内容にサービス低下が懸念される場合には、ポリシー反映をお断りする場合があります。
※4ブラックリスト登録を理由に検知したアラートに対して、脅威度は付与されません。
SLO(サービスレベル目標)
X-SOC for CybereasonのSLO (サービスレベル目標) は以下の通りです。
| 項目 | SLO | 開始 | 終了 |
|---|---|---|---|
| サービス提供時間 | 平日 9:00~17:00 | - | - |
| 初報通知(検知~簡易レポート) | 30分以内 | Malop受信時間 | 初報通知連絡メール送信時間 |
| セキュリティインシデント通知連絡 (検知~インシデントレポート) | 180分以内 | Malop受信時間 | セキュリティインシデント通知連絡メール送信時間 |
| プロアクティブレスポンス (初動対応) | 60分以内※1 | セキュリティインシデント通知連絡作成時間 | 初動対応完了メール送信時間 |
| ホワイトリスト登録 | 1営業日※2 | 申請受領 | 設定変更完了メール送信時間 or 設定不可連絡メール送信時間 |
| ブラックリスト登録 | 120分以内 | 申請受領 | 設定変更完了メール送信 |
| 問合せ回答 | 1営業日以内 | 問合せ受領 | 問合せ回答送付時間 |
| 月次レポート作成・送付 | 5営業日 | レポート対象月の翌月の起点日※1※4 | レポート対象月の翌月の起点日+5営業日 |
※1対処が必要な端末台数が多い場合など、SLOを超えることがあります。
※2ホワイトリストの内容によっては、メーカーと連携が必要なケースもありSLOを超えることがあります。
※3起点日は、サービス契約時に取り決めた月の始まりとなる日です。この起点日から翌月の起点日の前日までを1ヶ月間として扱います。現在の日付が「7月1日」で、起点日が「1日」である場合、月次レポート作成は「7月1日」から開始し、5営業日後に月次レポートを送付します。なお、レポート対象期間は、「6月1日~6月30日」で、レポート対象月は「6月」になります。
※4Cybereason MDRサービスを併用する場合、開始をレポート対象月の翌月15日、終了をレポート対象月の翌月25日となります。
料金
お問い合わせください。